[DISCUSION] Archivos Assembling (ASM)

**anarkes** · 12/03/2011 20:47:49

Continuo con la manera que yo uso:

Despues de que buscas con el patsearch, te salen aproximadamente 12 coincidencias, seleccionamos la primera 4537CE38 y nos dirigimos a ella en el IDB. Ya estando hay veremos lo siguente:

Código:

ROM:4537CE38 E0 FF 04 20 dword_4537CE38  DCD 0x2004FFE0          ; DATA XREF: sub_4537CCB4+2r
ROM:4537CE38                                                     ; sub_4537CD48+2r

Haces doble click sobre sub_4537CCB4+2r y te llebara a el principio de esa funcion 4537CCB6 en otras palabras donde se llama esa direccion de heap. Ahora hay seleccionas algo de codigo (con el cual buscaremos en el nuevo firm)

Yo seleccione:

Código:

ROM:4537CCB6 60 4D                       LDR     R5, dword_4537CE38
ROM:4537CCB8 04 1C                       ADD     R4, R0, #0
ROM:4537CCBA 28 68                       LDR     R0, [R5]
ROM:4537CCBC 00 28                       CMP     R0, #0
ROM:4537CCBE 42 D0                       BEQ     loc_4537CD46
ROM:4537CCC0 5E 4A                       LDR     R2, off_4537CE3C
ROM:4537CCC2 2E 1C                       ADD     R6, R5, #0
ROM:4537CCC4 30 36                       ADD     R6, #0x30
ROM:4537CCC6 30 68                       LDR     R0, [R6]
ROM:4537CCC8 21 1C                       ADD     R1, R4, #0

Ya limpio

Código:

??,4D
??,1C
??,68
??,28
??,D0
??,4A
??,1C
??,36
??,68
??,1C

Y ahora eso usaremos para buscar en el nuevo firm.

Y por ejemplo busque en un w380 R11CA002 y me dio de resultado 211236AE.

Despues vamos a ese offset en el nuevo firm (en mi caso 211236AE) y notaremos que hay un LDR, Rx, cualquierNombre hacemos clic sobre el nombre (en mi caso dword_21123828) y eso nos llebara a un nuevo offset donde esta algo asi:
dword_21123828 DCD 0x48040DE8
Y listo, ya lo he portado mi heap para w380 seria 0x48040DE8.

Nota: Esto era a lo que se referia laura

Espero haberme dado a entender

.
Saludos.